asouuo
  • 北欧の神がレプラコーンの穀物帝国を奪う
Headlines

保険会社が身代金の支払いを拒否したため、ハッカーがオーストラリアの健康記録をオンラインに流出

05 mins
保険会社が身代金の支払いを拒否したため、ハッカーがオーストラリアの健康記録をオンラインに流出

オーストラリア国民数百万人分の盗まれた医療記録がダークウェブ上で公開されました。これは、24時間前にハッカーがまさにそのように脅迫したことを受けてのことです。先月、正体不明のハッカーたちはオーストラリアの民間保険会社メディバンクに身代金を要求しましたが、同社は支払いを拒否しました。

ハッカーたちは、メディバンクのシステムを1ヶ月間ひっかき回ったと主張し、いわゆる「悪い」リストと「良い」リストと呼ばれる健康記録を公開した。「悪い」リストには、依存症や摂食障害などの治療を受けた人々が含まれていた。そして、彼らは盗んだ情報の公開は始まったばかりだと主張している。

ハッカーたちは、身代金交渉中にメディバンクと送受信したメールも公開しました。もし本物であれば、ハッカーたちは「関連グループ」の一員であることを述べる以外、名前を明かしていません。セキュリティ研究者はこのグループを「BlogXX」と名付けました。これは、盗まれたデータが公開されたOnionアドレスの一部です。奇妙なことに、このドメインはかつてロシアを拠点とするランサムウェア集団「REvil」が運営していましたが、ハッカーの一部が同一人物であるかどうかは不明です。

ハッカーらが公開した電子メールのやり取りの一つで、メディバンクの代表者は、身代金を支払えばハッカーらが本当にデータを削除するとどうやってわかるのかと質問している。

「違法であっても、私たちはビジネスを行っています。そのため、評判が心配です。これが決済の鍵なのです」とハッカーからの返信には書かれている。

「我々の関心は金を得ることであり、あなたの会社を破壊することではない」とハッカーたちは続ける。

彼らの意図が何であれ、これらのハッカーたちは、精神疾患や依存症といった様々な問題に苦しむ一般人の人生を破壊するために利用され得る情報を公開した。メディバンクは水曜日の朝、ギズモード宛てのメールでハッカーたちが投稿した画像の信憑性についてコメントを差し控えた。

さらに不可解なことに、メディバンクは保険会社であるにもかかわらず、サイバー保険に加入していませんでした。一部の推計によると、同社は数千万ドルの損失を被る可能性があり、すでに訴訟の準備も進められています。

犯人たちは10月に初めて、政治家、俳優、活動家などオーストラリアの著名人を含む、詳細な健康情報を含む機密データを公開すると脅迫しました。脅迫文は片言の英語で書かれていたため、多くの人が犯人は英語圏の国出身ではないと推測しました。ハッカーたちはメディバンクとのメールのやり取りで、シドニー市を「Sidney」と綴っています。

オーストラリアのABCニュースによると、メディバンクの現在の顧客は約390万人だが、ハッキングされたデータには元顧客も含まれているため、被害者約1,000万人の情報が含まれている。データはまだオープンウェブには公開されておらず、情報にアクセスする唯一の手段はいわゆるダークウェブとなっている。

「他の何百万人ものオーストラリア人と同様に、私の家族もメディバンクの不正アクセスに巻き込まれ、今日、私たちの個人データがダークウェブにあることを知りました。既存の法律やデータ保護システムはハッカーに太刀打ちできず、最悪のデータ漏洩の悪夢がリアルタイムで繰り広げられています」と、オーストラリア緑の党のデビッド・シューブリッジ上院議員は水曜日にツイートした。

メディバンクはハッキングへの対応が遅かったとして批判を受けており、当初はハッキングがあった可能性はあるものの、ハッカーが機密情報を盗み出すことは不可能だと発表していた。しかし、これは全くの誤りであることが判明した。

盗まれたメディバンクのデータをハッカーからのメッセージとともにホストしているダークウェブサイト(ギズモードによる編集)
盗まれたメディバンクのデータをハッカーからのメッセージとともに掲載しているダークウェブサイト(ギズモードによる編集)スクリーンショット:BlogXX

オーストラリアはサイバーセキュリティなどの分野で豊富なリソースを持つ裕福な国ですが、南半球の人々は長年、機密データの保護に苦慮してきました。その一因は、テクノロジー分野における人材流出で、熟練労働者がより高い賃金を求めて海外へ流出していることです。今年はオーストラリアにとって特に厳しい年であり、通信大手オプタスへの情報漏洩など、注目を集めるデータ窃盗事件が相次ぎました。

「@medibankに感謝したい。家族の個人医療データがハッキングされた件について、今のところアドバイスや情報提供は一切ありません。20年間も法外な保険料を払い続けているのに。@Optusよりもひどい。これはすごい」と、ある顧客はTwitterに投稿した。

米国のFBIに相当するオーストラリア連邦警察(AFP)は水曜日、「ガーディアン作戦」と名付けられた作戦について記者会見を開き、今後、脅迫の連絡を受ける可能性のある人は名乗り出るよう呼びかけた。

「今回の情報漏洩で被害を受けたお客様へ、オンラインや電話、SMSで、金銭を支払わなければデータを公開すると脅迫する人物から連絡があった場合、遠慮なくReportCyber​​を通じて警察に通報してください」と、AFPサイバーコマンドのジャスティン・ゴフ副長官はオンラインで発表した声明で述べた。

「脅迫は犯罪であり、盗んだ個人情報を金銭的利益のために悪用した者は、最長10年の懲役刑に処せられます。『オペレーション・ガーディアン』は、メディバンク・プライベートとオプタスのデータの売買と流通について、クリアウェブ、ダークウェブ、ディープウェブを積極的に監視していきます」とゴフ氏は続けた。

Tagged:

Related News